그래서 요즘 VPN 기술을 공부하고 있어요.
아직도 잘 이해되지 않는 것이 있습니다.
제가 원격 개발자이고 VPN을 사용하여 회사의 svn 서버와 인스턴트 메시징 서비스에 액세스한다고 가정해 보겠습니다.
원격 근무자가 마치 회사의 로컬 네트워크에 있는 것처럼 현지 근무자에게 나타나는 이유는 무엇입니까?
로컬 네트워크 서비스(예: 인스턴트 메시징 시스템)가 필요한 경우 관리자는 해당 서비스가 라우터를 통과하고 인터넷을 통해 원격 작업자에게 연결되도록 구성할 수 없나요?
원격 작업자와 라우터 간의 대화는 중간자 공격을 방지하기 위해 암호화될 수도 있습니다.
현재로서는 가상 네트워크의 필요성을 이해하지 못합니다.
답변1
VPN에는 다양한 용도가 있지만 귀하가 말씀하신 내용은 사실입니다. 인터넷을 통해 원격 작업자에게 전달되도록 구성할 수 있습니다. 하지만:
- 그러면 중요한 서비스가 인터넷에 노출됩니다.
- 인터넷에 노출한다는 것은 차를 몰고 다니는 스크립트 키드가 침입을 시도한다는 것을 의미합니다.
- 귀하는 잠재적으로 기밀 회사 데이터를 인터넷에 노출하고 있습니다. (저는 개인적으로 버전 제어 시스템이 기밀 회사 코드를 인터넷에 유출하고, 업데이트)
- 노출하는 소프트웨어에 취약점이 있으면 전 세계에 공개하는 것입니다.
- 많은 소프트웨어에는 암호화가 없습니다
- 많은 사내 소프트웨어에는 인증이 거의 또는 전혀 없습니다.
매우 잘 계획된 보안 계획이 없는 한 이러한 종류의 서비스를 인터넷에 게시하는 것은 무책임하고 위험합니다.
직원에게 VPN을 사용하여 서비스에 액세스하도록 요구하면 이러한 문제가 거의 모두 완화되고 다른 보너스도 제공됩니다(예: VPN의 2FA 인증).
애플리케이션 프록시인 중간 지점이 있습니다(예:Azure의 앱 프록시) 서비스를 인터넷에 노출합니다.그 이후에만인증하셨습니다. VPN보다 마찰이 적기 때문에 관심을 끌고 있습니다.
또한 회사 파일 서버가 인터넷에 광범위하게 노출되기를 원하시나요? 귀하의 회계 데이터베이스는 어떻습니까? 내부 네트워크에 분리하는 것이 가장 좋은 것들이 많이 있습니다.
답변2
마크 헨더슨이 당신에게 좋은 점을 준 것 같지만 가장 중요한 것을 잊어버린 것 같아요.
로컬 네트워크 서비스(예: 인스턴트 메시징 시스템)가 필요한 경우 관리자는 해당 서비스가 라우터를 통과하고 인터넷을 통해 원격 작업자에게 연결되도록 구성할 수 없습니까?
물론 가능합니다. 하지만 현실을 직시하자면 유지 관리가 더 쉽고 더 안전한 방법은 다음과 같습니다.
- IPSec/OpenVPN과 같이 잘 구성된 VPN 표준보다 덜 안전한 여러 서비스(보안 취약성, 인증서, 전체 단어에서 여러 번의 로그인 시도)를 관리합니까?
- VPN 서버를 설정하고 클라이언트를 하나의 서비스로 구성합니다.~하지 않을 것이다또한 적절한 재구성 및 유지 관리 없이도 영원히 총알 전문가가 될 수 있습니다.
오늘은 SVN이 필요하고, 내일은 다른 회사 문서에 액세스하려면 SMB가 필요하며, 다음 날에는 컴퓨터를 깨우고 RDP를 통해 원격으로 작업할 수 있습니다. 그 다음에는 10개의 다른 유사한 예가 있습니다. 네 단어 - 관리자는 유연성, 확장성, 보안 및 권한 부여라는 모든 작업을 한 번에 수행했습니다.
그건 그렇고 :
MITM 공격을 방지하기 위해 원격 작업자와 라우터 간의 대화를 암호화할 수도 있습니다.
그만큼암호화MITM을 방지하도록 설계되지 않았지만 무결성 메커니즘은 그렇습니다.
답변3
VPN은 어디에서나 액세스할 수 있나요? 이미 확보됐나요? 작업자는 동일한 LAN에 있는 것처럼 보이기 때문에(다른 국가/행성/세계에 있더라도) 네트워크에 대해 아무것도 재구성할 필요가 없습니다. 누가 무엇을 하는지, 몇 명이 언제 액세스할 수 있는지를 한 곳에서 관리할 수 있습니다.
이 중에서 어떤 것이 가장 유용한지는 모르겠지만, VPN은 아직 존재하지 않았다면 만들어졌을 훌륭한 도구입니다.